CISO向けクイックガイド: Verizonによる2020年データ漏洩に関する調査報告

13年連続でVerizonは、CISOやCIOに貴重なインサイトを提供するデータ漏洩に関連する情報源である「データ漏洩に関する調査報告」をリリースしました。今年の報告は、サイバーセキュリティ企業、法執行機関、ISAC、CERT、コンサルティング企業および政府機関などを含む81組織から受領したデータから構成されており、157,525件の報告済インシデントおよび108,069件の侵害を含んでいます。そして、全体では119ページの構成です。ここでは、最重要の調査結果を詳細に説明し、セキュリティオペレーションに役立つ主要な推奨事項を提供します。

ほとんどのサイバー攻撃の背後にいるのは誰か?

内部攻撃は確かに深刻で(実に30%)、増加傾向にありますが、これまでのところ組織に与える最大の脅威は外部からやってきます。昨年のデータによれば、侵害の70%は外部からのものと判明しています。1%のみが複数の関係者が関与しており、わずか1%でパートナーによる行為が関わっています。この報告で述べられていること:

「インサイダーは組織のセキュリティにとって最大の脅威であるというのが広く支持されている意見ですが、これは誤解です。」

しかし、読者の皆様には、特定ソースからの脅威数が、その脅威からもたらされるリスクの規模に相当するという間違いを犯さないよう注意を喚起したいと思います。インシデントの性質によっては、1件の内部攻撃で外部攻撃の10倍の危害を引き起こす可能性があります。それにもかかわらず、セキュリティチームはあらゆるソースからの攻撃に集中しなければならないのはもちろん、データから明らかなのは、脅威アクターがすぐそばで待ち構えているだけでなく、防御を打ち破ろうとしているということです。

しかし、従業員ではないとすると、こうした「外部アクター」とは誰なのでしょうか?およそ55%が「組織犯罪」と分類されており、研究者はこれを「マフィアなどではなく、プロセスを利用する犯罪者」と解釈しています。おそらく、明らかな目的と方法論を持つ犯罪者の攻撃だと言えばわかりやすいかもしれません。「目的」については次のセクションで取り上げますが、「犯罪」という用語では国家的アクターを除外し、「プロセス」では日和見的攻撃、ハクティビスト、動機が不明な攻撃などを除外します。

脅威アクターが望むのは何か?

6400万ドルの質問に対する答えが「金銭」だと思ったあなたは正解です。少なくとも、ほとんどのケースで該当します。86%の侵害は、報告によると金銭的な動機に基づいています。このことはセキュリティ業界内では驚くべきことではありませんが、組織内の他の人にとっては国家ハッカーやAPTのことをよく耳にしていることもあり、驚くことかもしれません。

金銭的報酬へのフォーカスは、別の興味深いデータポイントにもつながります:ほとんどの場合、攻撃に必要なのは、わずか数ステップのみです。これ以上複雑なものは廃棄されるか、より永続的な攻撃者から発生する可能性が高くなります。これに対する説明は、金銭的報酬を求めるサイバー犯罪者は、可能な限り攻撃を自動化する傾向があり、見返りを簡単に得ることが、堅牢な防御を備えた標的に時間や労力をかけることよりも常に優先されるということです。迅速かつ大規模なオペレーションを実行したり、ターゲティングの自動化やエクスプロイトツールの採用は、簡単なROI計算で済みます。防御を行う側にとっての教訓は単純明快です。つまり、防御を高めて、攻撃者に無理難題を課せば、たいていの人は他へ行きます。

最終的に攻撃者が本当に欲しいものはお金かもしれませんが、金銭以上のものを手に入れることがよくあります。特に、58%の攻撃は個人データの漏洩、また37%の攻撃がユーザー認証情報の使用または盗難につながっています。実際、以下に述べるように、ユーザー認証情報は脅威アクターにとって主要な商品になっています。また、御社は、御社よりも高価な標的に対するゲートウェイとして侵害されている場合もありますのでご注意ください。不正行為者は、御社には攻撃を行わず、御社にあるセキュリティの弱いサーバーを、第三者に対するDDoS攻撃で使用するボットネットの一部として奴隷化することだけにしか興味がないかもしれません。あるいは、御社は、魅力的な実入りのいい標的のサプライチェーンの一部かもしれません。御社が侵害されたMSPである場合には、脅威アクターの関心は御社ではなく、御社の顧客のほうに向いているかもしれません。

ハッカーはどのようにして防御をすり抜けるのか?

この件に関するデータは圧倒的:盗難、フィッシング、認証情報の総当たり攻撃などが攻撃者のネットワーク侵入時の主要な手段であり、一度侵入したら、永続的に使用したり、販売したりするために、さらに認証情報を取得するのが攻撃者の主要な目的です。ハッキングに関連する侵害の80%以上は総当たり攻撃や紛失、盗難された認証情報の使用から成ります。これは驚くべきことではありません。ユーザー名/パスワードの組み合わせリスト(しばしば、他の侵害案件で漏洩したもの)を複数のアカウントに対して再生するクレデンシャルスタッフィングは、1日に1000万単位で発生していると言われています。

これは、多くの組織が相当量のサービスやデータをマルウェアに感染しづらいクラウドにシフトしているという事実と密接に関連しています。代わりに、攻撃者はよりシンプルでスケーラブルなソリューションを選んでいます:盗んだりデータダンプから取得したりした認証情報を使ってログインリクエストを大量に発行します。さらに、より攻撃的なランサムウェア攻撃はデータを暗号化する前に抽出するため、このデータは同じ攻撃者によって販売されたり、再使用されたりして、後で同じ組織のアカウントに戻る道筋を「舗装する」ようになります。報告書作成者の要約:

「多かれ少なかれ一定のペースで動作するのがユビキタスプロセスのようです:漏洩に成功したら、辞書に差し込んで、インターネットで総攻撃を続けます。あとは、洗い流して同じことを繰り返します」

侵害と永続攻撃の両方の目的のための認証情報の盗難に重点が置かれているため、組織にとっては認証情報保護セキュリティにより注力する必要が生じます。

これまで同様、ソーシャルエンジニアリングは、新しい認証情報を盗んだり、足がかりを築いたり、企業から金銭をだまし取ったりする主な手段です。およそ96%のフィッシング攻撃は悪意あるEメールやマルスパムから成ります。攻撃者が圧倒的に選択するファイルタイプはOffice文書やWindowsアプリでした。頻度の少ない他のファイルタイプには、シェルスクリプト、アーカイブ、Java、Flash、PDFDLLおよび Linux、AndroidやmacOSのアプリケーションなどがあります。

攻撃者が最も活用しているアセットは何か?

オンプレミスのアセットに対する攻撃がいまだに主流で、侵害の70%を占める一方で、クラウドアセットの被害は過去1年で約24%でした。このうち、Eメールやウェブアプリサーバーが関与したのは73%で、そのうち77%で認証情報の盗難が発生しました。攻撃者は、組織が機密情報をクラウドインフラストラクチャやアプリケーションに保存していることを理解しており、この情報を取得して収益化するために、この傾向に沿って取り組みをシフトしていることは明らかです。

Webアプリケーションサーバーは他のアセットよりも標的にされています(人によるソーシャルエンジニアリングを含む)。通常、これには盗まれた認証情報の使用(前述の通り)、またはパッチが適用されていない脆弱性のエクスプロイトが関連しています。

セキュリティチームはこの特定のデータポイントに注意すべきです:報告済みの脆弱性のうち、3カ月以内にパッチされるのは約半分のみです。これにより2つの弱点が露呈します。まず、攻撃者はパッチサイクルの間断を突くために、ネット全体をスキャンして脆弱なデバイスを探すShodanのようなサービスを使用して、素早く行動を起こします。次に、おそらくは見逃されているかもしれませんが、脆弱性発見後3カ月以内にパッチを適用しないITチームは、パッチを適用する可能性自体が低くなります。攻撃者にとって、ひときわ目を引くのがSQL、PHP、ローカルファイルインジェクションです。特に小売業界を標的にする場合に、恰好の餌食となります。

セキュリティプラクティスが悪いと自社の損害ににつながるのか?

人間は過ちを犯すものだと言われますが、組織はプロセスによって導かれる人の集まりであり、ヒューマンエラーはプロセス実行の改善と監視によって企業が(内部の個人ではなく)コントロールできます。特に、ストレージの構成不良につながるヒューマンエラーは侵害報告件数が増加しています。データによると、エラーは確認済の侵害件数の22%を占め、重要な因果関係があります。全体としてみると、これは同じデータセットで使用される手口であるソーシャルエンジニアリングと同じ割合です。

ストレージ構成不良による侵害の一部は、おそらく重要なものですが、脅威アクターではなくセキュリティ研究者によって報告されているというのは朗報です。一方、このような報告がニュースの見出しになったり、風評被害を起こしたりするのは定量化が難しいとしても、悪意あるアクターによるデータ盗難と同程度に損害をもたらす可能性があります。

攻撃者に好まれるマルウェアの種類は何ですか?

確認済の侵害のうち、なんらかのマルウェアに関連するのは約17%です。これらのうち、27%は特にランサムウェアによるものであり、昨年来メディアで報告され、注目を集めているインシデント量を考えると驚くにはあたりません。

SentinelLabsはだいぶ前からランサムウェアの手口がこの数か月の間に進化して、恐喝の要素を含むようになってきたことに気付いてきました。暗号化する前にデータを抽出することによって、ランサムウェアの犯罪者は被害者が支払いをおこなわない場合に、顧客の機密データを漏洩すると脅迫できるようになっています。この傾向はVerizonによるデータ収集の締め切り後に本格的に始まったため、来年の報告でより明らかになるでしょう。しかし、2019年10月以前でさえ(2020年報告の最終記入日)、ランサムウェアが2019年前半に増加していたのが明らかです。ランサムウェアについては以下で説明しています:

「…3番目に多く発生しているマルウェア侵害で、2番目に多く発生しているマルウェアインシデントです」

この報告が取り扱っているさまざまな産業セクターのうち、教育部門および公共部門が年間を通じてランサムウェアの深刻な標的になっています。

認証情報の盗難がほとんどの脅威アクターの最優先事項であることを示すデータによると、最も多用されているマルウェアはパスワードダンパーでした。それに続いて、ダウンローダー(EmotetTrickBotなど)、さらにトロイの木馬が続きます。トロイの木馬は、一般的にバックドアやC2機能を通じて長期的な攻撃を狙っている高度な攻撃者に関連するツールです。興味深いのは、2017年とりわけ2018年の大流行後、クリプトジャッキングマルウェアが急速に減少していることです。

SentinelOneの推奨事項

119ページの報告にはここでは扱いきれないほど多くの詳細がまだありますが、本報告の主要な結論を示したいと思います。このセクションでは、報告全体とSentinelOneのテレメトリとの理解に基づいた推奨事項をいくつかご紹介します。

APTと違い、攻撃者の過半数は、複数の段階に分かれた高度に複雑な攻撃は採用しません。つまり、脅威ライフサイクル(別名「キルチェーン」)をいずれの段階においても捕捉することで、侵害阻止のチャンスが高まるということです。さらに、これを早期に実施すればするほど、攻撃を空振りに終わらせ、矛先をそらすことができるようになります。最近のMITRE ATT&CK評価結果が示すように、SentinelOneはあらゆる段階で攻撃の阻止に優れており、特に足がかりを作る前に攻撃を防ぎます。ゆえに、当社の最初の推奨事項は、実績があり、信頼できる次世代のAIプラットフォームを採用してエンドポイントを保護することです。

前述のように、攻撃者は自動攻撃を使用して、攻撃の負担を軽減しています。不要なポートをオープンにしたまま放置せず、開いているポート数を減らすことで攻撃を一層難しくします。インターネットへのアクセスは必須のサービスのみに許可し、ユーザーを限定します。SSHやTelnet(デフォルトのポートは22と23)は不正行為者が接続を試みる格好の標的になります。御社でこれを使う必要があるのは誰でしょう?必要とする人を明確化し、他の人は制限しましょう。

認証情報は攻撃者から見ると「金のなる木」です。WindowsシステムがレガシーLMやNTLMv1を使用しないように確認し、ここで述べる当社の推奨事項を採用し、Windowsの認証情報を保護しましょう。

Windows Security Essentials | 認証情報抽出でよく使われる4つの方法を防止
認証情報ダンプはラテラルムーブメントの前触れであり、よく知られたパスワード攻撃のいくつかはいまだに成功を収めています。基本事項はもう押さえてありますか?

データは組織の血流ですデータへのアクセスをコントロールし、機密ファイルのインベントリを常に最新の状態し、何よりもまず暗号化を使用しましょう。

保護が不十分なサーバーの他に、攻撃者がソーシャルエンジニアリングやフィッシング攻撃を通じてエクスプロイトしようとするのは、組織の主要な「資産」である人です。もちろん、ユーザーの意識向上プログラムを継続し、スタッフにフィッシング攻撃のトレーニングを実施しましょう。スタッフが悪意あるリンクやドライブバイダウンロード詐欺にだまされた場合でも、マルウェアを捕捉するエンドポイントセキュリティソフトウェアを自動化してサポートしましょう。すべてのユーザーログインアカウントで2FAやMFAを採用して、攻撃者のハードルを高くしましょう。

間違いや設定不良は意図しないバックドアになり侵害につながります。ストレージの許可設定を十分に見直しましょう。同様に重要なのは、適切なレビュープロセスを策定し設定不良を特定し防止することです。何人の人がセキュリティ上の監視やレビューなしでリポジトリを操作できるよう許可されていますか?ゼロ、がその答えであるべきです。

そして、最後に、これについては以前聞いたことがあるでしょうし、間違いなく今後も聞くことになるでしょう。パッチを早期に適用しましょう。そして何度も適用してください。脆弱性が公開されてから最初の四半期内にパッチを適用しないと、被害統計情報の一部になる恐れがあるほか、虎視眈々と狙っている攻撃者に発見されることにもなります。

まとめ

目新しいことではありませんが強調する価値があるのは、ほとんどの脅威アクターは金銭を求めているということです。そして、多くの組織のオンプレミスからクラウドへの移行に、攻撃者も追随しています。境界のないゼロトラストネットワークパラダイムが世界中の企業に拡がっているように、攻撃者はかけがえのないサインオン認証情報を手に入れようと狙っています。さらに、多くの組織が引き続きEメールに依存したり、仕事のためにリンクをクリックするのを期待する一方で、攻撃者もフィッシングリンクを送って自らの目的果たそうとしています。

侵害調査に関する最新データは、組織行動の現行プラクティスを反映しています。私たちが行く所に攻撃者もついてきます。侵害防止は、この象徴的な関係を認識して危険を予測し、脅威アクターが許容できないほどに攻撃にかかるコストを上げてしまうセキュリティソリューション、人の慣行、組織プロセスなどを配置することが重要です。

SentinelOneがどのように御社の事業をセキュリティ侵害から保護するのかについては、今すぐ当社にお問い合わせいただくか、無償のデモをお申し込みください。